Termshark es la última interfaz de usuario de Tshark, un analizador de protocolos de red que se encuentra entre los mejores de su clase. Fue desarrollado inspirándose en Wireshark, un analizador de protocolos de red gratuito, multiplataforma y de código abierto. Termshark es básicamente la versión terminal futurista de Wireshark.
Como interfaz de usuario de terminal, Termshark puede ser útil cuando se realizan operaciones de depuración en una máquina remota que tiene un pcap (Packet Capture) bastante grande. Si no tienes la intención de copiar todas las señales convertidas en su escritorio, Termshark puede ayudarte eficazmente.
Termshark está escrito en Go, esto le da su característica de ligereza y eficacia que le permite integrarse perfectamente con Tshark formando una unidad interactiva sincronizada.
Desde su lanzamiento, los usuarios han reportado tener una buena experiencia al usar esta interfaz de terminal. Esto es probablemente debido a los increíbles atajos de teclado que los desarrolladores incluyeron en su construcción, por ejemplo: puedes cambiar fácilmente entre paneles usando TAB, y si quieres mostrar filtros – usa /, etc.

Características
- Leer archivos pcap o husmear interfaces en vivo (donde tshark está permitido).
- Inspeccionar cada paquete usando vistas familiares inspiradas en Wireshark
- Filtrar pcaps o capturas en vivo usando los filtros de visualización de Wireshark
- Copiar rangos de paquetes al portapapeles desde la terminal
- Escrito en Go, compila a un solo ejecutable en cada plataforma – descargas disponibles para Linux (+termux), OS X, FreeBSD, y Windows

Instalación
Dependencias
Termshark depende de estos paquetes de código abierto:
- tshark : analizador de protocolos de red de línea de comandos, parte de Wireshark
- tcell : un paquete de manejo de terminales basado en celdas, inspirado en termbox
- gowid : cwidgets de interfaz de usuario de terminal de composición, inspirado en urwid, construido en tcell
Ten en cuenta que tshark es una dependencia de tiempo de ejecución, y debe estar en tu PATH para que termshark funcione. Se requiere la versión 1.10.2 o superior (aprox. 2013).
Antes de instalar Termshark debes asegurarte de que tu máquina tiene Tshark instalado. Para descargar Tshark ejecuta:
sudo apt install tshark
Con Go
Termshark utiliza módulos Go, por lo que es mejor compilar con Go 1.12 o superior. Establece GO111MODULE=on
y luego ejecuta:
go get github.com/gcla/termshark/v2/cmd/termshark
Debian
Por el momento, Termshark sólo está disponible en unstable/sid.
apt update
apt install termshark
Kali Linux
apt update
apt install termshark
Termux (Android)
pkg install root-repo
pkg install termshark
Ten en cuenta que termshark no requiere un teléfono rooteado para inspeccionar un pcap, pero depende de tshark que está en el repo-root de Termux para los programas que funcionan mejor en un teléfono rooteado.
Si quieres usar el modo de copia de termshark para copiar secciones de paquetes en el portapapeles de tu Android, también necesitarás Termux:API. Instálalo desde la Play Store, a continuación, desde termux, escribe:
pkg install termux-api
Ubuntu
Si está ejecutando Ubuntu 19.10 (eoan) o superior, termshark se puede instalar así:
sudo apt install termshark
Para Ubuntu < 19.10, puedes utilizar el PPA nicolais/termshark para instalar termshark:
sudo add-apt-repository --update ppa:nicolais/termshark
sudo apt install termshark
Uso
Para listar todas las opciones disponibles, utiliza el parámetro -h
:
$ termshark -h
termshark v1.0.0
A wireshark-inspired terminal user interface for tshark. Analyze network traffic interactively from your terminal.
See https://github.com/gcla/termshark for more information.
Usage:
termshark [FilterOrFile]
Application Options:
-i=<interface> Interface to read.
-r=<file> Pcap file to read.
-d=<layer type>==<selector>,<decode-as protocol> Specify dissection of layer type.
-Y=<displaY filter> Apply display filter.
-f=<capture filter> Apply capture filter.
--pass-thru=[yes|no|auto|true|false] Run tshark instead (auto => if stdout is not a tty). (default: auto)
--log-tty=[yes|no|true|false] Log to the terminal.. (default: false)
-h, --help Show this help message.
-v, --version Show version information.
Arguments:
FilterOrFile: Filter (capture for iface, display for pcap), or pcap file to read.
If --pass-thru is true (or auto, and stdout is not a tty), tshark will be
executed with the supplied command- line flags. You can provide
tshark-specific flags and they will be passed through to tshark (-n, -d, -T,
etc). For example:
$ termshark -r file.pcap -T psml -n | less

Ejemplos:
- Inspección de un pcap local:
termshark -r test.pcap
- Para capturar paquetes de ping en la interfaz eth0:
termshark -i eth0 icmp
- Lectura de una interfaz y aplicación de tcp:
termshark -i enp4s0 tcp
Consulta la guía del usuario de termshark para una mayor comprensión del uso de comandos.
termshark (este enlace se abre en una nueva ventana) por gcla (este enlace se abre en una nueva ventana)
A terminal UI for tshark, inspired by Wireshark